こんにちは。

Cisco Ask Me Anythingに、ご投稿頂き有難うございます。下記に回答させていただきます。

ご認識通り、IOSルータのAnyConnect終端は簡易的な機能となるため、ASAに比べるとサポート機能も少なく、実績も多いとは
言えません。そのため、現在、実績や機能面からお勧めできるのはASAで利用頂くことです。

ASAはリモートアクセスVPN終端の専用機でもあるため、実績や運用性に優れてます。FTDは、ASAに L7制御機能を追加したソフトウェアのため、FTDのAnyConnect接続機能は ASAのものに近いです。ただし、FTD利用時はASAと比べて AnyConnectで幾つかサポートされてない機能があるため、利用を想定しているAnyConnectの機能要件を FTD＋AnyConnect利用時に満たすかは事前に確認頂くと良いかと存じます。

下記の表はFTDバージョン6.5時点でのFTDの対応機能を示したものです。（これ以外にも細かな部分で機能差分は存在します）

FTDを集中管理(Firepower Management Center)で使う場合、ローカルユーザーに対応していないことは特に注意が必要です。FTDをローカル管理(Firepower Device Manager)で使う場合は、最新バージョンではローカルユーザーにも対応しています。

最小の機器構成を希望されておりますので、FTD選定時はFDMでご利用頂くのがシンプルではないかと思います。

尚、FTDのAnyConnect対応機能は バージョンが上がるほど増えてるため、FTDでAnyConnectを利用する場合は、FTD バージョン 6.6など 最新の安定リリースを使って頂くといいかと存じます。

パフォーマンスに関しては、FTDは追加のアプリケーションやURL制御などに対応してる分、同モデルのASA利用時に比べるとパフォーマンスが低くでてしまいます。ASAより1つ上の余力あるモデルを使って頂くと良いかと思います。

なお、1つ上位の Firepower2100シリーズの場合は、FW処理と脅威検出をデュアルマルチコアCPUで対応するため、ASAとFTD利用時のパフォーマンス差は小さくなっています。

以上、よろしくお願いいたします。

ネットワンシステムズ ご担当者様

素早く詳しいご回答 ありがとうございます。大変参考になりました。

AnyConnect の接続には、ASA もしくは FTD を利用したほうがよく、FTDを利用する場合は アプリケーション制御などができる分 AnyConnectの機能は若干（数割？）少なくなると理解しました。

拠点によっては、ローカルユーザー認証で素早く運用開始したいため、FTDを利用時は Firepower Device Manager の利用が良いとおもいました。 リモートアクセスVPNの基本的な機能を利用できつつ、アプリケーションや URLフィルタリングが 1台でできるのは、魅力に考えております。

なお、FTDの場合は機能制限があるとのことですが、どのような機能がサポートされているか詳細に確認する場合は、設定ガイドで希望の機能が設定できそうかで判断する方法でよろしいものでしょうか。
https://www.cisco.com/c/ja_jp/support/security/defense-center/products-installation-and-configuration-guides-list.html#~tab-englishDocumentation

https://www.cisco.com/c/ja_jp/support/security/firepower-ngfw/products-installation-and-configuration-guides-list.html

また、使える機能が同じであれば、集中管理であっても ローカル管理であっても、その機能の動作は大きく変わらないと考えてもよろしいでしょうか。この質問の理由ですが、集中管理とローカル管理とで、検知できるアプリケーションやURLカテゴリに差が出てこないかを心配しております。

都度 お手数をおかけしますが、ご教示いただけますと幸いです。

どうぞよろしくおねがいいたします。

＞なお、FTDの場合は機能制限があるとのことですが、どのような機能がサポートされているか詳細に確認する場合は

＞設定ガイドで希望の機能が設定できそうかで判断する方法でよろしいものでしょうか。

はい、各バージョンの設定ガイドでご確認・判断頂ければと存じます。

参考までに、最新OSバージョンでの管理者ガイドの該当部分リンクを下記に掲載いたします。

・FTD(FMC管理時）の管理者ガイド
Firepower Management Center Configuration Guide, Version 6.6
https://www.cisco.com/c/en/us/td/docs/security/firepower/660/configuration/guide/fpmc-config-guide-v66/firepower_threat_defense_remote_access_vpns.html

Chapter: Remote Access VPNs for Firepower Threat Defense

・FTD(FDM管理時）の管理者ガイド
Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager, Version 6.6.0
https://www.cisco.com/c/en/us/td/docs/security/firepower/660/fdm/fptd-fdm-config-guide-660/fptd-fdm-ravpn.html
Chapter: Remote Access VPN

・ASA(CLI管理時）の管理者ガイド
CLI Book 3: Cisco ASA Series VPN CLI Configuration Guide, 9.14
https://www.cisco.com/c/en/us/td/docs/security/asa/asa914/configuration/vpn/asa-914-vpn-config/vpn-anyconnect.html
Chapter: AnyConnect VPN Client Connections

・ASA(ASDM管理時）の管理者ガイド
ASDM Book 3: Cisco ASA Series VPN ASDM Configuration Guide, 7.14
https://www.cisco.com/c/en/us/td/docs/security/asa/asa914/asdm714/vpn/asdm-714-vpn-config/vpn-wizard.html#ID-2217-0000005b
AnyConnect VPN Wizard

・AnyConnect(モジュール）の管理者ガイド
Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 4.8
https://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect48/administration/guide/b_AnyConnect_Administrator_Guide_4-8.html

尚、ASA、FTDともにドット以降の値(9.14であれば14）が偶数のリリースが長期サポートされるOSとなっております。

Cisco’s Next Generation Firewall Product Line Software Release and Sustaining Bulletin
https://www.cisco.com/c/en/us/products/collateral/security/firewalls/bulletin-c25-743178.html

ASA 9.13とFTD 6.5は、既にEoSが発表されているため、これからお使い頂くのであれば、ASAであれば

9.12.x or 9.14.x、FTDの場合は、6.4.x or 6.6.xで選定頂くのが宜しいのではないかと存じます。
（安定性を取るなら9.12.xや6.4.xの最新リリース、最新機能を取るなら9.14.xや6.6.xの最新リリース）

>また、使える機能が同じであれば、集中管理であっても ローカル管理であっても、その機能の動作は大きく
>変わらないと考えてもよろしいでしょうか。この質問の理由ですが、集中管理とローカル管理とで、
>検知できるアプリケーションやURLカテゴリに差が出てこないかを心配しております。

はい、機能によっては集中管理時にのみ使えるものもございますが、アプリケーション可視化やURLカテゴリ

については集中管理でもローカル管理 でも、検知可能なアプリケーションの数や URLカテゴリに違いは
御座いませんのでご安心ください。

以上、よろしくお願いいたします。

ネットワンシステムズ ご担当者様

設定ガイドやバージョンの話までアドバイス有難うございます。また、FTDは集中管理でもローカル管理でも、アプリケーションやURLカテゴリ制御は同じようにできるとのことで安心いたしました。ご教示いただきました情報のおかげもあり、導入に向けての基本設計はできそうです。

お忙しいところ、真摯にサポートをしていただき、有難うございました。大変助かりました。

お役に立てたようで光栄です。この度はご質問頂きまして有難うございました。

こんにちは。

Cisco Ask Me Anythingに、ご投稿頂き有難うございます。下記に回答させていただきます。

ご認識通り、アプライアンスモードを利用することで従来のASA5500-Xと同じような感覚での操作が可能となります。

従来のプラットフォームモードでは、ASAの設定を行う際に、FXOS上での管理ポート用IPアドレス設定やFXOS上のGUI(Firepower Chassis Manager)でASAに割り当てるインターフェースの設定が必要でした。
一方、アプライアンスモードでは、基本的には、FXOSを意識せずにASAが設定可能となります。
そのため、SmartLicense周りがASDMからでき、Upgradeも従来のASAライクで作業が可能となります。
※ただし、高度なトラブルシューティングを行う際は、connect fxosでの対応が発生することが御座います。

尚、Firepower2100シリーズのASAOS(9.13以降)で新規構築した際は、デフォルトでアプライアンスモードとなります。
また、Firepower1000シリーズは既にアプライアンスモードのみサポートとなっている点からも今後は、アプライアンスモードが推奨と考えて良いかと思います。
（9.12.x未満からアップグレードする場合はプラットホームモードになり、アプライアンスモードにしたい場合はモード変更が必要です。）

関連リンク：
https://www.cisco.com/c/en/us/td/docs/security/asa/asa913/configuration/general/asa-913-general-config/intro-start.html#id_108496

以上、宜しくお願い致します。

この度はご丁寧な回答頂きありがとうございました。

とてもよく理解できました、やはり Firepower2100 上で ASA を動作させる場合には

今後の導入はアプライアンスモードの方が運用・保守の面でも便利そうであると改めて認識できました。

お忙しい中丁寧に解説頂きましてありがとうございました。

今後ともよろしくお願い致します。

お役に立てたようで光栄です。この度はご質問頂きまして有難うございました。

こんにちは。

Cisco Ask Me Anythingに、ご投稿頂き有難うございます。下記に回答させていただきます。

”ISE製品のトラブルシューティング”ということで認証関連のトラブルと推測します。

認証ポリシ(認証ルール)を確認したいということであれば、Administration→System→Backup&Restore内、「Policy Export」から
XML形式で認証ポリシ単体を取得することができます。
(サポートバンドルにもPolicyConfig.xmlというファイル名で含まれてはいます)

しかし、認証関連のトラブルシュートはやはりISE上で表示される情報で確認するのが一番です。
Operation→Live Logよりリアルタイムに認証ログを追えますが、この画面より遷移して確認できるDetailログが手掛かりになる場合が多いです。

DetailログにはユーザIDだけでなく、
・ISE上のどのPolicy Sets/Authentication/Authorization Policyが割り当てられたか
・RADIUSクライアントから送出される各種アトリビュート
・RADIUSクライアントへISEから返答しているRADIUSアトリビュート
などが確認できます。

また、認証が失敗している場合はAuthentication Detailsに「Failure Reason」という項目があり、失敗している原因が記載されています。
併せてResolution/Root causeに確認すべき項目が記載されていますので、まずはここに書かれている箇所からの記載を試すとよいかと思います。

なお、トラブルシューティングには設定を変更する権限のないRead Only Adminを利用すると安全に調査が可能です。

以上、よろしくお願いいたします。

こんにちは。

Cisco Ask Me Anythingに、ご投稿頂き有難うございます。下記に回答させていただきます。

RADIUS認証サーバ機能とCA機能は併用が可能です。
なお、CA機能の利用には以下Ordering Guideにもある通り、BASEライセンスに加えPLUSライセンスが必要となります。

https://www.cisco.com/c/dam/en/us/products/collateral/security/identity-services-engine/guide_c07-656177.pdf
2.1.1 Overall feature
view Device registration (My Devices portal) and
provisioning for Bring Your Own Device (BYOD)
with built-in Certificate Authority (CA)

また、バックアップにCA証明書が含まれるため、バックアップ/リストアでの移行も可能です。

そして、ASAのリモートユーザの認証方式にRADIUSを利用する方式は中規模以上を中心に多いと思われますが、
ISEのCAまで併せて利用した利用実績はそこまで多くないものと推測します。
おすすめはさつきさんの仰られている通り、WindowsADの証明書サービスとなります。

以上、よろしくお願いいたします。

ご担当者様

やはり、ISEのローカルCAサーバー機能の併用は あまり一般的ではなさそうですね。。Windows ADの利用が難しいこともあり、小規模でISEの ローカルCAサーバー機能を試験利用するか、この機会にパブリックCAの利用も検討してみたいと思います。

とても参考になりました。素早くご丁寧な回答、ありがとうございました。

お役に立てたようで何よりです。

ISEは一定期間無償でフル機能を使えるEvaluationモードもありますので、一度実際の動作を確認されてもよいかと思います。

https://www.cisco.com/c/ja_jp/td/docs/security/ise/2-6/admin_guide/b_ise_admin_guide_26/b_ise_admin_guide_26_chapter_0110.html#id_24976

この度はご質問頂きまして有難うございました。

こんにちは。

Cisco Ask Me Anythingに、ご投稿頂き有難うございます。下記に回答させていただきます。

ActiveDirectory(AD)と連携した無線LANの認証での利用という事であれば、以下のドキュメントが一番参考になると思われます。

・Dynamic VLAN Assignment with WLCs based on ISE to Active Directory Group Mapping Configuration Example
https://www.cisco.com/c/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/99121-vlan-acs-ad-config.html

資料はDynamic VLANを解説したものですが、Authorization Policyを設定例からISEのデフォルト変更にすることで単純な認証として処理が可能です。

その他、ISEの設定例などは以下のURLにまとまったものがあります。
具体的な操作方法を学習したい場合、リンク先にあるyoutubeの設定動画などもよいかと思います。

・Cisco ISE お役立ちリンク集 - Identity Services Engine -
ISE ユースケース別 実装 技術資料・設定例
https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/cisco-ise-%E3%81%8A%E5%BD%B9%E7%AB%8B%E3%81%A1%E3%83%AA%E3%83%B3%E3%82%AF%E9%9B%86-identity-services-engine/t...

・ISE & NAC Community Resources
https://community.cisco.com/t5/security-documents/ise-amp-nac-community-resources/ta-p/3621621

また、ISE全般を触って学習したい、という場合は、dCloudを利用するのも一つの方法かと思います。
ISE Sandboxがありますのでこちらを利用すればオンラインでISE環境が利用できます。

ガイドは以下になります。
・dCloud ISE Secure Access Wizard Sandbox Demo (POV Hands-On Training) - Lab Guide
https://community.cisco.com/t5/security-documents/dcloud-ise-secure-access-wizard-sandbox-demo-pov-hands-on/ta-p/3862362

これは私見ですが「論よりRun！」ということで、ISEは設定ガイド等で基礎を学習した後は、
実機を触りながら操作方法やポリシの組み方を学習していくのを個人的にはおススメします。
設定ガイドから自分なりに変更をし、意図通りに動くのか、いろいろ試行錯誤を繰り返すと学習が早く進むと思います。
ISEはデプロイ直後から90日フル機能が可能な評価モードで起動します。vmware環境にデプロイ可能な仮想版ISEを利用することで
専用アプライアンスの準備も不要になるため本番環境の構築前の自己学習にはピッタリです。
是非WLCやCatalystと組み合わせて、認証をテストしてみてください。

なお、ISEの設定を行う際は「Work Centers」が便利でおすすめです。

Netowk Access(認証)、Guest Access、TrustSec、BYOD、Profiler(識別)、Posture(検疫)、Device Administration(TACACS+)、PassiveIDと
目的別にISEの各設定画面を再構成してあり、各項目「Overview」ページにあるリンクを順に設定していくと、設定が完成するフローとなっています。
(設定の依存関係まで考慮してあるリンク集となっているため、順番に設定していくことで設定の依存関係に悩まされることなく設定が完了します。)

こぼれ話：ISEはver2.3の頃より、デフォルトのポリシルールに少し変更が加えられており、
「ADのユーザアカウント/Internal Userアカウントでシンプルに802.1X/EAP認証のみを行う」
のようなベーシックな要件であれば、デフォルトで定義されているルール
(Policy Sets:Default、Authentication Policy:Dot1X、Authorization Policy:Basic_Authenticated_Access)で処理が可能なので、
実はADへのISEの登録、RADIUSクライアントの登録を行うだけで、基本的な認証サーバとしての利用が可能な状態になっています。

以上、よろしくお願いいたします。

ご回答ありがとうございます。

ご教授いただいたＵＲＬの内容を精読し、早速実施してみたいと思います。

(ISEは構築するアプライアンスの実機が手元にあるので、触りながら一つずつ確かめていきます。)